Разработчики программного обеспечения (ПО) из Гонконга опубликовали информацию о баге в мессенджере Telegram. Они предупредили, что приложение может быть опасным для координации протестов, поскольку из-за уязвимости продукта спецслужбы могут получить номера телефонов и идентифицировать пользователей.
Программистам удалось обнаружить лазейку, которая может позволить властям Китая собрать телефонные номера, на которые зарегистрированы Telegram-аккаунты протестующих. Причём это якобы возможно даже при настройке мессенджера таким образом, что телефон пользователя никому не должен быть доступен. С помощью этих данных спецслужбы смогут вычислить личность и местоположение конкретного человека, пишет издание Anti-malware.
Уязвимость Telegram наиболее опасна для чрезмерно активных протестующих, которые регулярно призывают граждан принять участие в митингах через группы мессенджера.
Потенциальный злоумышленник может добавить в адресную книгу смартфона десятки тысяч телефонных номеров. После этого он добавляется в интересующую его группу Telegram, где организуются протесты, и синхронизирует все данные.
На этом этапе мессенджер должен оповестить атакующего о том, какой из занесённых телефонных номеров принадлежит участнику группы. Затем спецслужба направляет оператору связи требование предоставить имена абонентов, находящихся за выявленными телефонами. Таким образом власти смогут получить список организаторов и лидеров протестов.
В Telegram отреагировали на эти предположения, сообщив, что в компании «есть соответствующие меры безопасности, предотвращающие импортирование слишком большого количества контактов», которые «вводились именно для борьбы с описанным сценарием».
Как писал News.ru, ранее экс-партнёр Павла Дурова по соцсети «ВКонтакте» Антон Розенберг признал, что защитить смартфон от программы-шпиона FinSpy, которая способна читать чаты в мессенджерах, практически невозможно.